Vigilancia, interceptación de SMS y acceso a la cámara: el troyano Cellik convierte cualquier smartphone en un dispositivo espía perfecto
Los cibercriminales ni siquiera necesitan habilidades de programación para usar esta arma digital.
Especialistas de la empresa iVerify detectaron la aparición de un nuevo troyano de acceso remoto para Android llamado Cellik, que combina funciones de software espía con la capacidad de disfrazarse de aplicaciones legítimas de Google Play. El desarrollo ya se distribuye a través de mercados clandestinos y está orientado al uso masivo, incluso por atacantes con experiencia técnica mínima.
Cellik proporciona control total sobre el dispositivo infectado y vigilancia en tiempo real. Entre las capacidades del programa malicioso se incluyen la transmisión de pantalla con control remoto simultáneo de la interfaz, el registro de pulsaciones, el acceso a la cámara y al micrófono, así como la lectura de todas las notificaciones. Esto permite obtener mensajes personales y códigos de un solo uso que se muestran en la pantalla del teléfono. Adicionalmente, el troyano abre acceso a todo el sistema de archivos, incluidos los directorios de almacenamiento en la nube, con la posibilidad de descargar, eliminar y transferir datos de forma cifrada.
Los autores del informe prestan especial atención al navegador oculto integrado en Cellik. Funciona sin ser detectado por el propietario del dispositivo y permite abrir sitios web de forma remota, completar formularios y seguir enlaces. Al mismo tiempo, el operador recibe una secuencia de capturas de pantalla en tiempo real. Este mecanismo puede utilizarse para acceder a servicios con sesiones guardadas o para realizar phishing, cuando los datos introducidos son interceptados directamente por el troyano.
Otra función peligrosa es el módulo de inyección de código en otras aplicaciones. Con él, los atacantes pueden superponer ventanas de autenticación falsas sobre aplicaciones bancarias y de correo o extraer datos directamente de ellas. El sistema admite el trabajo simultáneo con varias aplicaciones y la recolección de información en un centro de control unificado.
Una característica clave de Cellik es la integración con Google Play. En el panel de control se incluye una herramienta que permite seleccionar cualquier aplicación legítima del catálogo de la tienda e incorporar automáticamente en ella la carga maliciosa. Como resultado se genera un nuevo archivo de instalación, exteriormente indistinguible de una aplicación común. Según los vendedores, este enfoque aumenta las probabilidades de eludir los mecanismos integrados de verificación y protección de Android.
La aparición de Cellik se enmarca en el aumento general del mercado de malware para Android bajo el modelo «malware como servicio». Plataformas similares ofrecen herramientas listas para generar archivos de instalación, gestionar dispositivos infectados e infraestructura para controlar campañas. Cellik se compara con HyperRat, PhantomOS y Nebula, pero el nuevo troyano destaca por la combinación de integración con la Play Store y un conjunto ampliado de funciones, que incluyen rastreo de ubicación, interceptación de comunicaciones, robo de datos de monederos de criptomonedas y análisis del comportamiento de los usuarios.